Nel panorama delle minacce informatiche, è emerso un nuovo ransomware che porta il nome di 3AM. Sorprendentemente, questo ransomware sembra essere stato utilizzato come alternativa quando gli aggressori non sono riusciti a distribuire LockBit sulla rete di destinazione.
Il team di cacciatori di minacce di Symantec, parte di Broadcom, ha notato che 3AM è stato usato in un solo attacco da un affiliato di ransomware. Dopo un tentativo non riuscito di implementare LockBit, l’aggressore ha optato per 3AM.
Caratteristiche di 3AM
3AM è scritto in Rust ed è una famiglia di malware completamente nuova. Questo ransomware cerca di interrompere diversi servizi sul computer infettato prima di iniziare a cifrare i file. Al termine della cifratura, prova a eliminare le copie dell’Ombra del Volume (VSS). Non è ancora chiaro se i suoi autori abbiano legami con organizzazioni di cybercriminali conosciute.
Preparazione all’Attacco
L’attività sospetta ha iniziato con l’uso del comando gpresult
per scaricare le impostazioni delle politiche applicate al computer per un utente specificato. L’aggressore ha inoltre eseguito vari componenti di Cobalt Strike e ha tentato di elevare i privilegi sul computer con PsExec.
Hanno poi eseguito comandi di ricognizione come whoami
, netstat
, quser
, e net share
, e cercato di enumerare altri server per movimenti laterali con i comandi quser
e net view
. Hanno anche aggiunto un nuovo utente per persistenza e utilizzato lo strumento Wput per esfiltrare i file delle vittime sul proprio server FTP.
Il loro primo tentativo di utilizzare il ransomware LockBit è stato bloccato, motivo per cui si sono rivolti a 3AM. Tuttavia, l’uso di 3AM è stato solo parzialmente riuscito, riuscendo a implementarlo su solo tre macchine della rete dell’organizzazione, ma venendo bloccato su due di queste.
Analisi di 3AM
Il nome “3AM” deriva dal fatto che esso aggiunge ai file cifrati l’estensione .threeamtime. Il messaggio di riscatto fa riferimento all’orario 3AM come un momento di mistero e avverte che tutti i file sono stati cifrati e che qualsiasi tentativo di recupero danneggerà ulteriormente i dati.
Un dettaglio inquietante è che gli aggressori dichiarano di aver rubato una grande quantità di dati sensibili dalla rete locale della vittima, tra cui documenti finanziari, informazioni personali e molto altro.
Segni di Avvertimento
Le affiliate di ransomware sono diventate sempre più indipendenti dagli operatori di ransomware. L’apparizione di nuove famiglie di ransomware è frequente, ma il fatto che 3AM sia stato utilizzato come alternativa da un affiliato di LockBit suggerisce che potrebbe interessare ad altri aggressori in futuro.
Protezione e Mitigazione
Per gli ultimi aggiornamenti sulla protezione, si consiglia di visitare il Bollettino di Protezione di Symantec.
Indicatori di Compromissione
SHA256 file hashes:
079b99f6601f0f6258f4220438de4e175eb4853649c2d34ada72cce6b1702e22 – LockBit
307a1217aac33c4b7a9cd923162439c19483e952c2ceb15aa82a98b46ff8942e – 3AM
680677e14e50f526cced739890ed02fc01da275f9db59482d96b96fbc092d2f4 – Cobalt Strike
991ee9548b55e5c815cc877af970542312cff79b3ba01a04a469b645c5d880af – Cobalt Strike
ecbdb9cb442a2c712c6fb8aee0ae68758bc79fa064251bab53b62f9e7156febc – Cobalt Strike
Network indicators:
185.202.0[.]111
212.18.104[.]6
85.159.229[.]62
In conclusione, è essenziale restare sempre all’erta e mantenere le proprie difese informatiche aggiornate contro le sempre crescenti e mutevoli minacce.